本文介绍了配置DDoS高防后,访问网站出现502报错的常见原因和解决方法。

DDoS高防回源IP被源站拦截或限速

为什么DDoS高防回源IP被源站拦截或限速?

在配置DDoS高防后,真实服务器(源站)的IP因为DDoS高防在中间代理而被隐藏。因此,在源站看来,所有经过DDoS高防服务访问的客户端源IP都会变成高防的回源IP。高防回源

正常情况下,客户端请求访问DDoS高防,DDoS高防服务收到请求后把真实客户端的源IP转换成高防的回源IP(把真实客户端IP放在HTTP头部的X-Forwarded-For字段中)发送给源站。但是,如果源站IP暴露,客户端可以直接请求访问源站,这样就绕过了DDoS高防服务提供的防护。

没有配置DDoS高防代理时,在源站看来真实客户端地址是非常分散的。正常情况下,每个源IP的请求量都不大。而配置DDoS高防服务后,高防回源的IP段固定且有限。因此,在源站看来所有的访问请求都来自高防回源IP段,分摊到每个回源IP上的请求量也会变大,导致源站可能误认为高防回源IP在对源站进行攻击。此时,源站如果有防御DDoS的安全策略,很可能会将回源IP拦截或者限速。502错误

如何解决?

根据上述原理,只要在源站放行所有的DDoS高防的回源IP,即可解决出现的502错误。设置放行DDoS高防回源IP的方法有两种:
  • 参见放行DDoS高防回源IP,获取DDoS高防的回源IP网段并在您源站的防火墙、主机安全防护软件(如安全狗)中将回源IP网段添加到白名单。
  • 直接关闭源站的防火墙和主机安全防护软件。

源站本身出现异常,导致响应高防的请求超时

源站本身异常包括以下情形:
  • 源站IP暴露,被恶意攻击导致瘫痪。
  • 源站服务器机房物理故障。
  • 源站服务器中Apache、Nginx等Web服务出现问题。
  • 服务器内存、CPU占用过高,导致性能骤降。
  • 源站上行链路拥挤阻塞。

如何判断?

修改本机hosts文件,将域名直接指向源站IP。如果直接通过源站IP也不能访问,同时伴随ping源站IP丢包、Telnet超时等现象,可判断为是此类原因导致。

如何排查?

  1. 查看源站流量、请求量是否有大量增长,同时对比DDoS高防管理控制台中的监控。如果源站遭到大流量攻击,但DDoS高防管理控制台显示无异常,则有可能是攻击绕过DDoS高防直接攻击源站。这种情况,建议您尽快更换源站IP。更多信息,请参见更换 ECS IP
  2. 排除遭受攻击的原因后,可查看源站服务器的进程状态、CPU和内存占用情况、机房带宽的监控情况等。如有异常,建议您联系服务器相关技术人员或机房人员协助排查解决。
  3. 如果是个别客户端出现502错误,建议您收集客户端的IP和出现异常的时间点,并提交工单,售后技术支持团队会对比相关日志协助您进行排查。

网络出现拥塞或抖动

在已经排除上述两种原因后,偶发的局部网络抖动、运营商线路故障等因素也可能导致502错误。您可提交工单反馈此情况,售后技术支持团队将为您提供链路质量监控的信息。